第7講防火墻（一）一、防火墻基本知識1、防火墻的提出2、防火墻示意圖3、防火墻是什么4、防火墻概念5、防火墻實現(xiàn)層次6、防火墻功能7、防火墻的作用8、爭議及不足企業(yè)上網(wǎng)面臨的安全問題之一:

內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的有效隔離解答:

防火墻網(wǎng)絡(luò)間的訪問----需隔離FIREWALL1、防火墻的提出2、防火墻示意圖Internet1.企業(yè)內(nèi)聯(lián)網(wǎng)2.部門子網(wǎng)3.分公司網(wǎng)絡(luò)3、防火墻是什么（1）在一個受保護的企業(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)間,用來強制執(zhí)行企業(yè)安全策略的一個或一組系統(tǒng).防火墻主要用于保護內(nèi)部安全網(wǎng)絡(luò)免受外部網(wǎng)不安全網(wǎng)絡(luò)的侵害。典型情況：安全網(wǎng)絡(luò)為企業(yè)內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)為因特網(wǎng)。但防火墻不只用于因特網(wǎng)，也可用于Intranet各部門網(wǎng)絡(luò)之間（內(nèi)部防火墻）。例：財務(wù)部與市場部之間。3、防火墻是什么（2）4、防火墻概念（1）最初含義：當房屋還處于木制結(jié)構(gòu)的時侯，人們將石塊堆砌在房屋周圍用來防止火災(zāi)的發(fā)生。這種墻被稱之為防火墻。RichKosinski(InternetSecurity公司總裁）： 防火墻是一種訪問控制技術(shù)，在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問。換句話說，防火墻是一道門檻，控制進/出兩個方向的通信。WilliamCheswick和SteveBeilovin（1994）：防火墻是放置在兩個網(wǎng)絡(luò)之間的一組組件，這組組件共同具有下列性質(zhì)：只允許本地安全策略授權(quán)的通信信息通過雙向通信信息必須通過防火墻防火墻本身不會影響信息的流通4、防火墻概念（2）4、防火墻概念（3）簡單的說，網(wǎng)絡(luò)安全的第一道防線

防火墻是位于兩個信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對兩個網(wǎng)絡(luò)之間的通信進行控制，通過強制實施統(tǒng)一的安全策略，防止對重要信息資源的非法存取和訪問以達到保護系統(tǒng)安全的目的。5、防火墻實現(xiàn)層次6、防火墻功能（1）基本功能模塊應(yīng)用程序代理包過濾&狀態(tài)檢測用戶認證NATVPN日志IDS與報警內(nèi)容過濾防火墻的功能過濾進出網(wǎng)絡(luò)的數(shù)據(jù)管理進出網(wǎng)絡(luò)的訪問行為封堵某些禁止的業(yè)務(wù)記錄進出網(wǎng)絡(luò)的信息和活動對網(wǎng)絡(luò)攻擊進行檢測和告警6、防火墻功能（2）7、防火墻的作用（1）Internet防火墻允許網(wǎng)絡(luò)管理員定義一個中心“扼制點”來防止非法用戶，如黑客、網(wǎng)絡(luò)破壞者等進入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。Internet防火墻能夠簡化安全管理，網(wǎng)絡(luò)安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機上。在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報警。應(yīng)該注意的是：對一個內(nèi)部網(wǎng)絡(luò)已經(jīng)連接到Internet上的機構(gòu)來說，重要的問題并不是網(wǎng)絡(luò)是否會受到攻擊，而是何時會受到攻擊。網(wǎng)絡(luò)管理員必須審計并記錄所有通過防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時響應(yīng)報警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠不會知道防火墻是否受到攻擊。Internet防火墻可以作為部署NAT(NetworkAddressTranslator，網(wǎng)絡(luò)地址變換）的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題，并消除機構(gòu)在變換ISP時帶來的重新編址的麻煩。Internet防火墻是審計和記錄Internet使用量的一個最佳地方。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費用情況，查出潛在的帶寬瓶頸的位置，并能夠根據(jù)機構(gòu)的核算模式提供部門級的記費。Internet防火墻也可以成為向客戶發(fā)布信息的地點。Internet防火墻作為部署WWW服務(wù)器和FTP服務(wù)器的地點非常理想。還可以對防火墻進行配置，允許Internet訪問上述服務(wù)，而禁止外部對受保護的內(nèi)部網(wǎng)絡(luò)上其它系統(tǒng)的訪問。互聯(lián)網(wǎng)非法獲取內(nèi)部數(shù)據(jù)7、防火墻的作用（2）示意圖8、爭議及不足使用不便，認為防火墻給人虛假的安全感對用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點失效不能替代墻內(nèi)的安全措施不能防范惡意的知情者不能防范不通過它的連接不能防范全新的威脅當使用端-端加密時，其作用會受到很大的限制二、防火墻種類1、防火墻的種類2、包過濾防火墻3、NAT模式4、代理服務(wù)器5、全狀態(tài)檢查1、防火墻的種類防火墻的存在形式：軟件、硬件。根據(jù)防范方式和側(cè)重點的不同可分為四類：包過濾應(yīng)用層代理電路層代理狀態(tài)檢查2、包過濾防火墻（1）2、包過濾防火墻（2）包過濾防火墻對所接收的每個數(shù)據(jù)包做允許拒絕的決定。防火墻審查每個數(shù)據(jù)報以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于可以提供給IP轉(zhuǎn)發(fā)過程的包頭信息。包頭信息中包括IP源地址、IP目標端地址、類型（TCP、UDP、ICMP、或IPTunnel）、TCP/UDP目標端口、ICMP消息類型、TCP包頭中的ACK位置。包的進入接口和出接口如果有匹配并且規(guī)則允許該數(shù)據(jù)包，那么該數(shù)據(jù)包就會按照路由表中的信息被轉(zhuǎn)發(fā)。如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會被丟棄。如果沒有匹配規(guī)則，用戶配置的缺省參數(shù)會決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。包過濾防火墻使得防火墻能夠根據(jù)特定的服務(wù)允許或拒絕流動的數(shù)據(jù)，因為多數(shù)的服務(wù)收聽者都在已知的TCP/UDP端口號上。例如，Telnet服務(wù)器在TCP的23號端口上監(jiān)聽遠地連接，而SMTP服務(wù)器在TCP的25號端口上監(jiān)聽人連接。為了阻塞所有進入的Telnet連接，防火墻只需簡單的丟棄所有TCP端口號等于23的數(shù)據(jù)包。為了將進來的Telnet連接限制到內(nèi)部的數(shù)臺機器上，防火墻必須拒絕所有TCP端口號等于23并且目標IP地址不等于允許主機的IP地址的數(shù)據(jù)包。2、包過濾防火墻（3）檢查內(nèi)容數(shù)據(jù)包過濾一般要檢查網(wǎng)絡(luò)層的IP頭和傳輸層的頭：IP源地址IP目標地址協(xié)議類型（TCP包、UDP包和ICMP包）TCP或UDP包的目的端口TCP或UDP包的源端口ICMP消息類型TCP包頭的ACK位TCP包的序列號、IP校驗和等優(yōu)點：

速度快，性能高對用戶透明缺點：維護比較困難(需要對TCP/IP了解）安全性低（IP欺騙等）不提供有用的日志，或根本就不提供不能根據(jù)狀態(tài)信息進行控制不能處理網(wǎng)絡(luò)層以上的信息無法對網(wǎng)絡(luò)上流動的信息提供全面的控制2、包過濾防火墻（4）優(yōu)缺點互連的物理介質(zhì)應(yīng)用層表示層會話層傳輸層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層2、包過濾防火墻（5）透明模式包過濾:網(wǎng)橋形式3、NAT模式（1）3、NAT模式（2）NATSample(PAT)3、NAT模式（3）虛擬IP3、NAT模式（4）路由模式4、代理服務(wù)器（1）代理服務(wù)是運行在防火墻主機上的專門的應(yīng)用程序或者服務(wù)器程序。不允許通信直接經(jīng)過外部網(wǎng)和內(nèi)部網(wǎng)。將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的“鏈接”，由兩個終端代理服務(wù)器上的“鏈接”來實現(xiàn)。外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。

4、代理服務(wù)器（2）4、代理服務(wù)器（3）Telnet代理服務(wù)器4、代理服務(wù)器（4）代理服務(wù)的分類代理服務(wù)分類：代理服務(wù)可分為應(yīng)用級代理與電路級代理：應(yīng)用級代理是已知代理服務(wù)向哪一應(yīng)用提供的代理，它在應(yīng)用協(xié)議中理解并解釋命令。應(yīng)用級代理的優(yōu)點為它能解釋應(yīng)用協(xié)議從而獲得更多的信息，缺點為只適用于單一協(xié)議。電路級代理是在客戶和服務(wù)器之間不解釋應(yīng)用協(xié)議即建立回路。電路級代理的優(yōu)點在于它能對各種不同的協(xié)議提供服務(wù)，缺點在于它對因代理而發(fā)生的情況幾乎不加控制。

4、代理服務(wù)器（5）應(yīng)用層代理的優(yōu)點應(yīng)用層代理能夠讓網(wǎng)絡(luò)管理員對服務(wù)進行全面的控制，因為代理應(yīng)用限制了命令集并決定哪些內(nèi)部主機可以被該服務(wù)訪問。網(wǎng)絡(luò)管理員可以完全控制提供那些服務(wù)，因為沒有特定服務(wù)的代理就表示該服務(wù)不提供。防火墻可以被配置成唯一的可被外部看見的主機，這樣可以保護內(nèi)部主機免受外部主機的進攻。應(yīng)用層代理有能力支持可靠的用戶認證并提供詳細的注冊信息。另外，用于應(yīng)用層的過濾規(guī)則相對于包過濾防火墻來說更容易配置和測試。代理工作在客戶機和真實服務(wù)器之間，完全控制會話，所以可以提供很詳細的日志和安全審計功能。應(yīng)用層代理的最大缺點是要求用戶改變自己的行為，或者在訪問代理服務(wù)的每個系統(tǒng)上安裝特殊的軟件。比如，透過應(yīng)用層代理Telnet訪問要求用戶通過兩步而不是一步來建立連接。不過，特殊的端系統(tǒng)軟件可以讓用戶在Telnet命令中指定目標主機而不是應(yīng)用層代理來使應(yīng)用層代理透明。每個應(yīng)用程序都必須有一個代理服務(wù)程序來進行安全控制，每一種應(yīng)用升級時，一般代理服務(wù)程序也要升級。4、代理服務(wù)器（6）應(yīng)用層代理的缺點5、全狀態(tài)檢查（1）狀態(tài)檢測技術(shù)：在包過濾的同時，檢察數(shù)據(jù)包之間的關(guān)聯(lián)性，數(shù)據(jù)包中動態(tài)變化的狀態(tài)碼。監(jiān)測引擎：一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊。監(jiān)測引擎采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，抽取狀態(tài)信息，并動態(tài)地保存起來作為以后執(zhí)行安全策略的參考。當用戶訪問請求到達網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認證、報警或給該通信加密等處理動作。應(yīng)用層表示層會話層傳輸層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層監(jiān)測引擎5、全狀態(tài)檢查（2）5、全狀態(tài)檢查（3）

狀態(tài)檢測的優(yōu)缺點優(yōu)點：一旦某個訪問違反安全規(guī)定，就會拒絕該訪問，并報告有關(guān)狀態(tài)作日志記錄。它會監(jiān)測無連接狀態(tài)的遠程過程調(diào)用（RPC）和用戶數(shù)據(jù)報（UDP）之類的端口信息。缺點：降低網(wǎng)絡(luò)速度配置比較復雜三、防火墻體系結(jié)構(gòu)1、雙重宿主主機體系結(jié)構(gòu)2、屏蔽主機體系結(jié)構(gòu)3、屏蔽子網(wǎng)體系結(jié)構(gòu)4、其它的防火墻結(jié)構(gòu)1、雙重宿主主機體系結(jié)構(gòu)（1）雙重宿主主機體系結(jié)構(gòu)是圍繞雙重宿主主機構(gòu)筑的。雙重宿主主機至少有兩個網(wǎng)絡(luò)接口，它位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，這樣的主機可以充當與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能從一個網(wǎng)絡(luò)接收IP數(shù)據(jù)包并將之發(fā)往另一網(wǎng)絡(luò)。然而實現(xiàn)雙重宿主主機的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能，完全阻止了內(nèi)外網(wǎng)絡(luò)之間的IP通信。兩個網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享和應(yīng)用層代理服務(wù)的方法實現(xiàn)。一般情況下采用代理服務(wù)的方法。Internet防火墻雙重宿主主機內(nèi)部網(wǎng)絡(luò)…1、雙重宿主主機體系結(jié)構(gòu)（2）1、雙重宿主主機體系結(jié)構(gòu)（3）雙重宿主主機的特性：安全至關(guān)重要（唯一通道），其用戶口令控制安全是關(guān)鍵。必須支持很多用戶的訪問（中轉(zhuǎn)站），其性能非常重要。缺點：雙重宿主主機是隔開內(nèi)外網(wǎng)絡(luò)的唯一屏障，一旦它被入侵，內(nèi)部網(wǎng)絡(luò)便向入侵者敞開大門。2、屏蔽主機體系結(jié)構(gòu)（1）屏蔽主機體系結(jié)構(gòu)由防火墻和內(nèi)部網(wǎng)絡(luò)的堡壘主機承擔安全責任。一般這種防火墻較簡單，可能就是簡單的路由器。典型構(gòu)成：包過濾路由器＋堡壘主機。包過濾路由器配置在內(nèi)部網(wǎng)和外部網(wǎng)之間，保證外部系統(tǒng)對內(nèi)部網(wǎng)絡(luò)的操作只能經(jīng)過堡壘主機。堡壘主機配置在內(nèi)部網(wǎng)絡(luò)上，是外部網(wǎng)絡(luò)主機連接到內(nèi)部網(wǎng)絡(luò)主機的橋梁，它需要擁有高等級的安全。2、屏蔽主機體系結(jié)構(gòu)（2）屏蔽路由器可按如下規(guī)則之一進行配置：允許內(nèi)部主機為了某些服務(wù)請求與外部網(wǎng)上的主機建立直接連接（即允許那些經(jīng)過過濾的服務(wù)）。不允許所有來自外部主機的直接連接。安全性更高，雙重保護：實現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。缺點：過濾路由器能否正確配置是安全與否的關(guān)鍵。如果路由器被損害，堡壘主機將被穿過，整個網(wǎng)絡(luò)對侵襲者是開放的?！蛱鼐W(wǎng)2、屏蔽主機體系結(jié)構(gòu)（3）3、屏蔽子網(wǎng)體系結(jié)構(gòu)（1）屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機體系結(jié)構(gòu)一樣，但添加了額外的一層保護體系——周邊網(wǎng)絡(luò)。堡壘主機位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。原因：堡壘主機是用戶網(wǎng)絡(luò)上最容易受侵襲的機器。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機，能減少在堡壘主機被侵入的影響。Internet周邊網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)…外部路由器堡壘主機內(nèi)部路由器3、屏蔽子網(wǎng)體系結(jié)構(gòu)（2）3、屏蔽子網(wǎng)體系結(jié)構(gòu)（3）周邊網(wǎng)絡(luò)是一個防護層，在其上可放置一些信